Positive Technologies рассказала о хакерской группировке Space Pirates, атакующей аэрокосмическую отрасль и госструктуры

33d4c698fe7c298f026f3f37f76df5d9.jpg

Специалисты Positive Technologies выявили новую хакерскую группировку, объекты которой — госучреждения и предприятия авиационно-космической отрасли. Она применяет методы, характерные для киберпреступников из Китая, сообщает РБК со ссылкой на исследование компании.

Группировку назвали Space Pirates из-за строки «P1Rat» в используемом коде и нацеленности некоторых атак на авиационно-космическую отрасль. Это так называемая APT-группа (advanced persistent threat), которая действует минимум с 2017 года. Её ключевые интересы — шпионаж и кража конфиденциальной информации. Среди жертв, которых удалось выявить, — государственные учреждения и ИТ-департаменты, предприятия аэрокосмической и электроэнергетической отраслей в России, Грузии и Монголии.

Впервые активность группы зафиксировали в конце 2019 года, когда одно из отечественных предприятий авиационно-космического сектора получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты выявили ещё четыре отечественные компании, в том числе две с госучастием, которые были скомпрометированы подобным образом.

По оценке экспертов Positive Technologies, две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1,5 тыс. внутренних документов, а также данные всех учётных записей сотрудников в одном из сетевых доменов. Во втором случае удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свой вредоносный софт по крайней мере на 12 корпоративных узлов в трёх различных регионах.

В Positive Technologies предполагают, что у группировки азиатские корни. На своих ресурсах она использует китайский язык, а также различные инструменты, популярные среди азиатских хакеров. В исследовании специалисты видели много пересечений с инструментарием других группировок, при этом не было основных пересечений — по сетевой инфраструктуре, по тактикам и техникам. Представитель Positive Techonologies пояснил, что они только сейчас сделали заявление про новую группировку, поскольку лишь недавно завершили расследование.

Группировка Space Pirates возникла недавно и пока не описана в публичных источниках, рассказал РБК руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин, но в этой компании её называют SpaceP1rates. По его словам, их Центр предотвращения киберугроз фиксировал активность этой группировки, среди её основных жертв он также назвал госструктуры.

© Habrahabr.ru